Wat is voorwaardelijke toegang?

De moderne beveiligingsperimeter gaat nu verder dan het netwerk van een organisatie en omvat ook de identiteit van gebruikers en apparaten. Organisaties kunnen identiteitsgestuurde signalen gebruiken als onderdeel van hun beslissingen voor toegangsbeheer.

Voorwaardelijke toegang brengt signalen samen, om beslissingen te nemen en organisatiebeleid af te dwingen. Voorwaardelijke toegang van Azure AD is de kern van het nieuwe identiteitsgestuurde besturingsvlak.

Conceptual Conditional signal plus decision to get enforcement

De eenvoudigste beleidsregels voor voorwaardelijke toegang zijn als/dan-instructies. Als een gebruiker toegang wil krijgen tot een resource, moet deze een actie uitvoeren. Voorbeeld: Een salarisbeheerder wil toegang tot de salaristoepassing en moet meervoudige verificatie gebruiken om toegang te krijgen.

Beheerders hebben twee hoofddoelen:

  • Geef gebruikers de mogelijkheid overal en altijd productief te zijn
  • De bedrijfsactiva beschermen

Gebruik beleid voor voorwaardelijke toegang om de juiste toegangscontroles toe te passen wanneer dat nodig is om uw organisatie veilig te houden.

Conceptual Conditional Access process flow

Belangrijk

Beleid voor voorwaardelijke toegang wordt afgedwongen nadat verificatie van de eerste factor is voltooid. Voorwaardelijke toegang is niet zozeer bedoeld als de eerste verdedigingslinie van een organisatie tegen bijvoorbeeld DoS-aanvallen (Denial of Service), maar kan gebruikmaken van signalen van deze gebeurtenissen om wel of geen toegang te verlenen.

Algemene signalen

Via voorwaardelijke toegang kan rekening worden gehouden met de volgende algemene signalen bij het nemen van een beleidsbeslissing:

  • Gebruikers- of groepslidmaatschap
    • Beleid kan worden afgestemd op specifieke gebruikers en groepen, waardoor beheerders een nauwkeurige controle hebben over de toegang.
  • IP-locatie-informatie
    • Organisaties kunnen vertrouwde IP-adresbereiken maken die kunnen worden gebruikt bij het nemen van beleidsbeslissingen.
    • Beheerders kunnen IP-bereiken voor landen/regio's opgeven om verkeer te blokkeren of toe te staan.
  • Apparaat
    • Gebruikers met apparaten van specifieke platforms of die zijn gemarkeerd met een specifieke status, kunnen worden gebruikt bij het afdwingen van beleid voor voorwaardelijke toegang.
  • Toepassing
    • Gebruikers die toegang proberen te krijgen tot specifieke toepassingen, kunnen verschillende beleidsregels voor voorwaardelijke toegang activeren.
  • Realtime en berekende risicodetectie
    • Signaalintegratie met Azure AD Identity Protection maakt voorwaardelijk toegangsbeleid mogelijk om riskant aanmeldingsgedrag te identificeren. Beleidsregels kunnen gebruikers vervolgens dwingen hun wachtwoord te wijzigen, meervoudige verificatie uit te voeren om hun risiconiveau te verlagen of toegang te blokkeren totdat een beheerder handmatig actie onderneemt.
  • Microsoft Defender for Cloud Apps
    • Hiermee kunnen gebruikerstoegang en -sessies in realtime worden bewaakt en beheerd, waardoor de zichtbaarheid en controle over de toegang tot en activiteiten die worden uitgevoerd in uw cloudomgeving wordt vergroten.

Algemene beslissingen

  • Toegang blokkeren
    • Meest beperkende beslissing
  • Toegang verlenen
    • Bij de minst beperkende beslissing kunnen nog steeds een of meer van de volgende opties nodig zijn:
      • Multi-Factor Authentication vereisen
      • Vereisen dat het apparaat moet worden gemarkeerd als compatibel
      • Hybride Azure AD-gekoppeld apparaat is vereist
      • Goedgekeurde client-apps vereisen
      • Beleid voor app-beveiliging vereisen (preview)

Algemeen toegepast beleid

Veel organisaties hebben algemene toegangsproblemen waarbij het beleid voor voorwaardelijke toegang kan helpen zoals:

  • Multi-Factor Authentication vereisen voor gebruikers met beheerdersrollen
  • Multi-Factor Authentication vereisen voor Azure-beheertaken
  • Aanmeldingen blokkeren voor gebruikers die verouderde verificatieprotocollen gebruiken
  • Vertrouwde locaties voor registratie van Azure AD Multi-Factor Authentication vereisen
  • Toegang vanaf specifieke locaties blokkeren of verlenen
  • Riskant aanmeldingsgedrag blokkeren
  • Door de organisatie beheerde apparaten vereisen voor specifieke toepassingen

Licentievereisten

Voor deze functie hebt u een Azure AD Premium P1-licentie nodig. Zie Algemeen beschikbare functies van Azure AD vergelijken om de juiste licentie voor uw vereisten te vinden.

Klanten met een Microsoft 365 Business Premium-licentie hebben ook toegang tot de functies voor voorwaardelijke toegang.

Aanmeldingsrisico heeft toegang nodig tot identiteitsbeveiliging

Volgende stappen